<概要>
2020年9月25日、全国情報安全標準化技術委員会は「国家標準『情報安全技術 サイバーセキュリティ緊急対応能力評価ガイドライン』意見募集稿」(以下、「本意見募集稿」という)を公表し、11月24日までパブリックコメントを募集した。 仮に本意見募集稿が原案通りに公表されたとしても、外資企業のビジネス運営に影響が出るものではなく、むしろ中国政府が求める情報セキュリティ領域の危機管理計画の基準を把握し、適切に対応するためのガイドラインとして有用な内容であると考える。
対象
本意見募集稿は、ネットワーク運営者によるサイバーセキュリティ緊急対応能力評価に関するガイドラインである。評価はネットワーク運営者自身による自己評価、あるいは評価機関による第三者評価のいずれでもよい。(1)
評価作業の概要
- サイバーセキュリティ緊急対応能力評価は、緊急時対応チーム、緊急時対応体制、監視・早期警戒、緊急時対応、予防保障の5方面、15項目により評価する。(5)
- 評価作業は、評価の準備、評価の実施、スコア判定、レポート作成の4段階で実施する。(8.1)
- 評価は、書類審査、実地調査、面談・質疑応答、実際に操作する等の方法を通じて行い、採点ルールに従って、85点以上を優、70点~84点を良、60点~69点を合格、59点以下を不合格と判定する。(8.3、8.4)
5方面15項目の基本要求事項(一部抜粋)
監視・早期警戒(6.3)
- モニタリング:a)セキュリティインシデントを監視するための技術的対策を講じた上で、重要システムを7*24時間リアルタイムで監視し、監視記録をとること。
b) 監視ログは最低6カ月間保存すること。(6.3.1) - 分析・診断:セキュリティインシデントの発生の有無およびインシデントの種類とレベルを判断し、適切な緊急対応計画を始動すること。(6.3.2)
- 早期警戒:主管部門又は国家の関連部門が発する早期警戒情報と対応要求に従い、早期警戒情報に基づいて速やかにリスク防止措置を講じるとともに、対応記録をとること。(6.3.3)
緊急時対応(6.4)
- 情報の報告と共有:a) インシデント報告は、緊急時対応計画に定められた報告プロセスに従って行い、インシデント報告書を作成しなければならない。b) インシデントは、主管部門または国家の関連部門の要求事項に従って報告しなければならない。(6.4.1)
- インシデントの処理:a) ログ抽出、ウイルスチェック、トロイの木馬チェック、ネットワークスキャン、侵入テストなどのネットワークセキュリティインシデント対応ツールを有すること。b) 既知のセキュリティインシデントについては、緊急時対応計画に基づき、事態の封じ込め、根本原因の根絶、システムの復旧等の対応を行い、インシデント対応記録を作成する。c) インシデント処理能力が不十分であるか、対応できない未知のセキュリティ事象である場合、必要に応じて外部の支援を要請するか、または規定に従いエスカレーションを行う。(6.4.2)
- 調査とまとめ:a) 緊急時対応の終了後、セキュリティインシデントの原因と対応プロセスを調査し、経験と教訓を整理してインシデントの概要報告書を作成する。b) 未知のセキュリティ事象については、情報を分析し、未知の事象が既知となるように文書化しなければならない。(6.4.3)
見解とポイント
本意見募集稿は、サイバーセキュリティ法および国家サイバーセキュリティインシデント危機管理計画に準拠する推奨国家標準規格として検討が進められているものである。中国でビジネスを展開する事業者は、外資企業も例外なく情報セキュリティ領域の危機管理計画を策定し、さらに本意見募集稿に照らして評価を実施することを求める内容となっている。
仮に本意見募集稿が原案通りに公表されたとしても、外資企業のビジネス運営に影響が出るものではなく、むしろ中国政府が求める危機管理計画の基準を把握し、適切に対応するためのガイドラインとして有用な内容であると考える。本意見募集稿には、付録として危機管理計画における基本要求事項と能力増強事項のチェックリストがついており、危機管理計画の策定や見直し、評価作業においては、付録のチェックリストをそのまま利用することができる。また付録Cでは、関連するサイバーセキュリティインシデントに関連する法令や国家標準規格の一覧が掲載されており、危機管理計画の策定や見直しを行う際には参考になると思われる。
原文 https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20200930142736&norm_id=20200112070006&recode_id=39796
本レポートはクララが発行する「中国法令アラート 2020 年 10 月号」の内容を一部抜粋、編集したものです。「中国法令アラート」では、最新の法令・制度変更に関する詳細および予想される日系企業への影響、実務で得た動向変化に関する情報等を毎月 PDF でお届けしています。